Evaluación del Impacto del Riesgo en la Recuperación ante Desastres: Por dónde Empezar

Evaluar los riesgos es uno de los primeros pasos necesarios para encontrar una forma de reducirlos y, por lo tanto, mantener segura tu infraestructura. Crear un plan efectivo de recuperación ante desastres comienza con la búsqueda de amenazas potenciales y vulnerabilidades de los elementos de tu infraestructura, así como las formas de responder a ellas. La evaluación de riesgos no es un proceso único. Deberías actualizar regularmente tus políticas de evaluación de riesgos, especialmente si estás gestionando una infraestructura en constante cambio. Nuestro artículo tiene como objetivo explicar la importancia de la evaluación del impacto del riesgo en la planificación de recuperación ante desastres y proporcionar información básica sobre cómo se realiza la evaluación de riesgos.

Evaluación del Impacto del Riesgo: Conceptos Relacionados

La evaluación de riesgos es un elemento importante tanto en la planificación de recuperación ante desastres (DR) como en la continuidad del negocio (BC). Aunque explicar DR y BC en detalle requeriría dos publicaciones de blog separadas, a continuación se presenta un resumen breve de las dos prácticas:

• El plan de recuperación ante desastres es un documento que contiene un algoritmo bien definido de acciones a tomar si ocurre un incidente. Su propósito es simplificar la recuperación de los efectos negativos que ha traído el incidente. Las instrucciones detalladas en un plan de DR están destinadas a ayudar a tu empresa a mantener o reanudar rápidamente las operaciones críticas, manteniendo así el tiempo de inactividad al mínimo.
• Plan de continuidad del negocio se refiere a un conjunto de acciones destinadas a prevenir amenazas potenciales y recuperarse de incidentes que enfrenta su empresa. La idea clave es asegurar que los empleados y activos de su empresa estén protegidos y puedan reanudar sus operaciones si ocurre un desastre. Un plan de BC es más amplio que un plan de DR: está destinado a garantizar que el negocio continúe operando después de un desastre, mientras que un plan de DR está diseñado para mitigar rápidamente los efectos negativos de este último.

La evaluación de riesgos y todas las posibles vulnerabilidades a las que su negocio puede estar sujeto se realiza antes de implementar un plan de DR. Una buena práctica es comenzarla inmediatamente después de realizar un análisis de impacto en el negocio (BIA), otro elemento importante de una estrategia de DR, que tiene como objetivo identificar las posibles consecuencias si alguna de las funciones o procesos de su negocio se ve interrumpido.

La evaluación de riesgos de recuperación ante desastres es un documento que contiene una descripción de los riesgos potenciales para el funcionamiento de una organización. Cubre tanto desastres naturales como de origen humano y estima la probabilidad de que ocurra cada escenario. Los resultados de la estimación se multiplican luego por las consecuencias de un incidente. El valor que reciba define el nivel de protección de su organización contra una amenaza determinada. Algunos de los temas básicos que se supone que destaca el documento son los siguientes:

• Daños potenciales que el incidente puede causar;
• Cantidad de tiempo y esfuerzo requeridos para mitigar los efectos del incidente y costos asociados;
• Medidas preventivas para reducir los riesgos de desastre;
• Instrucciones para reducir la gravedad de un incidente.

La evaluación de riesgos es un proceso que consume tiempo y requiere tanto habilidades como atención al detalle. Al preparar este documento, es mejor seguir las pautas, prestar atención a las herramientas de evaluación de riesgos y descargar un ejemplo de evaluación de riesgos de recuperación ante desastres para comprender mejor.

Cómo realizar una evaluación del impacto del riesgo

Normalmente, el proceso de realizar una evaluación de riesgos de recuperación ante desastres implica los pasos que se detallan a continuación. Dependiendo de las necesidades de su organización, puede incluir pasos adicionales o omitir algunos de los que se enumeran.

1. Enumerar los activos

Definir los activos que son más valiosos para su organización es el primer paso para protegerlos. Los activos son un término bastante amplio que puede incluir servidores, sitios web y aplicaciones, información de la base de clientes, bases de datos, documentos en papel o electrónicos, etc., e incluso miembros clave del equipo.

Para hacer frente a esta tarea, considere crear un cuestionario. Es importante recibir comentarios no solo de los gerentes clave y jefes de departamento, sino de todos los empleados de la empresa. Esto puede ayudarlo a darse cuenta de cosas que podrían haberse pasado por alto. Comience a documentar riesgos y amenazas específicos dentro de cada departamento.

2. Identificar los riesgos

Específicamente, debe definir qué es exactamente lo que puede afectar a cada uno de sus activos y de qué manera. Esto incluye software, hardware, datos y empleados. Asegúrese de seguir un enfoque integrado que aborde la mayor cantidad posible de formas y tipos de desastres. Estos son:

• Desastres naturales. Incluso si tu infraestructura está ubicada en un área poco probable de sufrir huracanes o terremotos, no puedes ignorar la posibilidad de incendios y roturas de tuberías de agua. Tenlo en cuenta al decidir dónde ubicar tus servidores.
• Fallo del sistema. La probabilidad de fallo depende de la calidad de tu equipo informático y del esfuerzo de mantenimiento de tu parte. Siempre existe el riesgo de que una máquina se apague y deje de funcionar sin ningún aviso o mensaje de error. Además, el fallo del sistema puede ser resultado de problemas graves de software, como una línea de código defectuosa, por ejemplo.
• Error accidental. Entrenar a tus empleados, permitir suficiente tiempo de descanso, implementar protocolos de seguridad y otras medidas preventivas no eliminan completamente los riesgos de error humano. Algunos de tus empleados pueden eliminar accidentalmente un archivo importante, hacer clic en un enlace de malware o dañar accidentalmente un equipo.
• Actividades maliciosas. Este grupo de riesgos se presenta en diversas formas, desde ataques de hackers tradicionales dirigidos a tus datos hasta amenazas internas como el abuso de credenciales y la alteración o daño intencional de datos.

3. Identificar las vulnerabilidades

Es importante identificar las debilidades que pueden ser explotadas para obtener o dañar los activos de tu empresa. Para realizar una acción no autorizada, un atacante necesita un vector de ataque (es decir, un método) que pueda aplicarse en un intento de explotar una debilidad del sistema. La suma de estos vectores de ataque en tu infraestructura de TI se conoce como superficie de ataque. La idea clave es reducir la superficie de ataque al mínimo.

Asegúrese de evaluar la probabilidad de explotación de vulnerabilidades. Este es el primer paso para priorizar las fallas de seguridad y asignar recursos para eliminarlas. Según las estadísticas basadas en el Sistema Común de Puntuación de Vulnerabilidades (CVSS), un estándar de la industria para evaluar la gravedad de las vulnerabilidades, las fallas de alta gravedad son explotadas en la mayoría de los casos. Sin embargo, esto no es una regla sin excepciones.

4. Evalúe las posibles consecuencias

Realice un análisis de impacto de riesgo para determinar las pérdidas financieras que su empresa podría enfrentar si alguno de sus activos resultara dañado. Además de las pérdidas de ingresos, las posibles consecuencias pueden incluir la pérdida de datos, daños a su entorno de TI como resultado del tiempo de inactividad, daño a la reputación y problemas legales. Tenga en cuenta que las pérdidas a nivel superficial pueden ser solo el principio. Un incidente puede resultar en costos ocultos asociados con relaciones públicas e investigaciones, así como aumentos en las primas de seguros y honorarios legales.

5. Priorice los riesgos

Defina el nivel de riesgo para cada par de amenaza y vulnerabilidad. Base su evaluación en una combinación de dos factores: la probabilidad de explotación de la vulnerabilidad y las posibles consecuencias que este incidente pueda acarrear. Trate de estimar cuánto ingreso podría perder su empresa como resultado del evento de riesgo.

La priorización debe basarse en la correlación entre el nivel de impacto y la probabilidad de que ocurra un incidente dado. Si el incidente puede resultar en impactos negativos graves y es muy probable que ocurra, el asunto debe recibir la máxima prioridad. Cada una de las amenazas debe ser asignada un valor respectivo, desde “muy alto” (alta probabilidad de riesgo en combinación con pérdidas monetarias significativas) hasta “muy bajo” (baja probabilidad y daño insignificante).

6. Documentar los resultados

El paso final en la realización de una evaluación de impacto de riesgos es preparar un informe o documento que cubra todas las estimaciones mencionadas anteriormente. Más tarde, este documento puede ayudarlo con la planificación presupuestaria, asignación de recursos, implementación de políticas de seguridad, etc. El documento debe describir las vulnerabilidades, el impacto potencial y la probabilidad de ocurrencia de cada amenaza. Para una mejor comprensión, vea un ejemplo a continuación:

Amenaza	Vulnerabilidad	Activo	Impacto	Probabilidad	Riesgo	Precauciones
Sobrecalentamiento en la sala de servidores (falla del sistema) – Alto	El sistema de aire acondicionado es viejo y está mal mantenido – Alto	Servidores – Crítico	Los servicios, sitios web, aplicaciones, etc. no estarán disponibles durante algunas horas – Crítico	La temperatura en las salas de servidores es de 40 °C – Alto	Pérdidas financieras sustanciales por cada hora de inactividad – Alto	Comprar un nuevo aire acondicionado y garantizar un mejor mantenimiento

Justo después de comenzar, obtendrás una mejor comprensión de las operaciones y procesos de tu organización, así como de las formas en que se pueden optimizar. Basándote en la evaluación del impacto del riesgo, crea una política que regule el alcance de las acciones que tu empresa debe tomar cada mes, cada trimestre o anualmente. Trata de elaborar cómo abordar y mitigar cada una de las amenazas, y cuándo llevar a cabo la posterior evaluación del riesgo.

Prepárate con Anticipación

Ignorar la importancia de preparar un informe integral de evaluación de riesgos es uno de los riesgos más comunes para la recuperación ante desastres. Este informe es un ayudante comprobado para reducir la probabilidad de que ocurra un incidente, mitigar sus efectos negativos y mantener el tiempo de inactividad al mínimo.

Realizar copias de seguridad periódicas y almacenar copias de seguridad fuera del sitio es una práctica inteligente que garantiza la recuperabilidad de sus datos en una amplia gama de escenarios, desde la eliminación accidental hasta la destrucción total de una sala de servidores. Además, con una réplica válida en su lugar, puede recuperarse de un desastre con solo unos pocos clics.

NAKIVO Backup & Replication ofrece una amplia gama de herramientas y funciones para ayudarlo a respaldar y replicar sus cargas de trabajo. Encuentre un breve resumen de nuestra funcionalidad a continuación:

Copia de seguridad de datos

• Realice copias de seguridad de cargas de trabajo virtuales, físicas y en la nube.
• Recupere al instante archivos, carpetas y objetos de aplicaciones directamente desde copias de seguridad comprimidas y deduplicadas. Puede recuperar datos de nuevo al origen o a una ubicación personalizada. La función funciona tanto en LAN como en WAN, y se restauran todos los permisos de archivo.
• Envíe copias de sus copias de seguridad fuera del sitio para asegurarse de que nunca se pierdan como resultado de una eliminación accidental, corrupción, fallo del disco, ciberataque o cualquier otro evento imprevisto.

Replicación de VM

• Cree copias idénticas, también conocidas como réplicas, de VMs basadas en VMware, Hyper-V y AWS EC2.
• Reanude sus operaciones críticas para el negocio casi al instante al fallar a una réplica de VM. En otras palabras, puede recuperar una VM afectada por un fallo de software o hardware con solo unos pocos clics.
• Realiza la replicación desde copias de seguridad para descargar tu entorno de producción y ahorrar tiempo, lo cual es especialmente importante en infraestructuras de TI grandes.

Para garantizar una pérdida de datos mínima y reducir el tiempo de inactividad, prepárate con anticipación. Junto con NAKIVO Backup & Replication y un informe adecuado de evaluación de impacto de riesgos, puedes proteger tu entorno de una amplia gama de escenarios inesperados.